Специалист по информационной безопасности под псевдонимом Capt. Meelo модифицировал код эксплойта DoublePulsar. Теперь вредоносный инструмент может запускаться не только на стационарных компьютерах и ноутбуках, но и на устройствах Интернета вещей под управлением операционной системы Windows IoT (ранее известной как Windows Embedded).

Исследователю понадобилось внести минимальные изменения в код программы. По сути, для запуска DoublePulsar на Windows IoT не было никаких препятствий, кроме алгоритма проверки версии ОС. Эксперт сумел обойти его, поменяв всего лишь одно значение кода операции в исполняемом файле.

Вредоносный скрипт DoublePulsar предназначен для обеспечения скрытого канала передачи полезной нагрузки в скомпрометированную систему. Это мощный бэкдор, который внедряется в ОС на уровне ядра и открывает для злоумышленников SMB-порт устройства. Программа загружается в оперативную память, не оставляя следов на жестком диске компьютера.

DoublePulsar входит в набор вредоносных программ, слитых в сеть группировкой Shadow Brokers. Вместе с эксплойтами EternalBlue, EternalChampion, EternalSynergy и EternalRomance он является частью криминального фреймворка Fuzzbunch.

После того как опасные разработки стали достоянием общественности, их немедленно приняли на вооружение группировки по всему миру. Эксплуатируя уязвимости компьютеров с непропатченными до критически важного апдейта MS17-010 операционными системами, киберпреступники сумели взять под контроль сотни тысяч устройств.

Эксплойт-пак АНБ имеет серьезное ограничение — он не работает на Windows 10, обладающей более совершенной системой безопасности, нежели предыдущие версии ОС. Это существенно сужало количество устройств, доступных для атаки. Публикация Capt. Meelo может придать новый импульс криминальным кампаниям в Интернете, открыв для вредоносного инструмента высокотехнологичное бытовое оборудование, киоски самообслуживания и банкоматы.

Уровень защиты IoT-устройств традиционно ниже, чем у стационарных компьютеров и смартфонов. Этим пользуются злоумышленники, объединяющие множество таких приборов в мощные ботнеты для организации DDoS-атак или майнинга криптовалюты.

Категории: Уязвимости, Хакеры